文字撰稿:黃彥宏
攝影記者:徐嘉駒
編導剪接:翁如儀
美術設計:姜峻傑
純網銀「國家隊」將來銀行,由中華電信當大股東籌組、兆豐銀行當二股東,新光集團、全聯、凱基銀行也參一咖入股,但在日本來的樂天銀行、韓商持有的LINE(連線)銀行,紛紛拿到純網銀營業執照之後,唯一本土派的將來銀行經過了1年多申請,卻仍舊無法開業,《毅傳媒》得到爆料,內部人士點出「資安風險」漏洞太大,疑似是金管會遲遲不發許可的原因之一。
熟知將來銀行內部狀況的人士,向《毅傳媒》透露,公司內的資訊安全,幾乎可說是非常「可怕」,具體來講,能從3部分窺知背後狀況:
一、公司內網沒有任何的限制,也就是說員工可以透過公司網路,輕易地查詢資料之後,以通訊軟體、雲端硬碟、AirDrop或USB等方式,將公司商業機密、客戶個資等傳送至外部,造成公司交易資料外洩的損失。
二、將來銀行內的VPN(虛擬私人網路)後門大開,內部員工可以輕易透過無管理的VPN連線至公司,直接從外部存取公司的資訊,可能包含一些不可外流的機密資料。
三、公司的軟硬體測試環境,沒有被加密約束,無須經由VPN就能從外部的4G網路,直接輕易連線,使用公司內部的測試環境,等於說正式環境、測試環境,毫無差別。
知情人士告訴《毅傳媒》,將來銀行的APP軟體,就有高達4、500個Bugs那麼多,且公司的系統測試曾大出包,去年底在做測試時,內部風控沒做好,導致原本應該是內部測試的信件,誤發給外部的Gmail使用者,導致外部人士非常生氣!
由於該外部人士,根本沒聽過將來銀行是什麼?也沒有開戶,怎麼會收到銀行開戶通知?外部人士甚至認為,自己的Gmail帳號是被不法盜用。對此,知情人士指出,總歸來說,就是將來銀行把測試環境發到正式環境去,才產生這樣的慘劇,即使事後公司下了「封口令」,紙卻依舊包不住火。
另外,公司內部更傳出,將來銀行的資訊處在年後,有大批工程師離職,連獵人頭都在詢問,公司內部是否有什麼狀況?為什麼年後產生如此大的離職潮?據悉,資訊處的編制大約100人,許多工程師對公司一片混沌的狀況不滿而離職,有一些則是自身能力不足被資遣。
回顧過往,將來銀行在2019年成立籌備處,2020年1月底拿到「純網銀設立許可」後成立公司,但規劃開業許久,至今仍得不到金管會點頭,遲未取得營業許可,箇中原因似乎已經不究自明。
對此,金管會回應,由於將來銀行的營業許可審查,正處在行政流程當中,故《毅傳媒》詢問內容,並不方便透露細節,但將來銀行有缺失的地方,陸陸續續都有要求補件,而每間銀行的狀況並不同,無法拿樂天、LINE來相比。
將來銀行則表示,針對「營業許可執照」申請,一直都有依照金管會的要求持續做改善、補件,跟樂天、LINE相較,將來銀行本來就比較晚開始籌備上線,而最後一次送件是在2月底,金管會需要的資料都已繳交,目前已進入最後階段的審查,但具體上線時間,仍要由金管會做核准。
另外,盛傳將來銀行的資安問題, 將來銀行回應,外界關心公司資訊系統之改善事項,進而影響金管會核發本行營業執照一事,資訊系統確實在陸續建置及改善的過程中,對於資訊系統之缺失問題,已嚴加責成資訊長及相關主管需快速因應問題及進行改善,對於主管決策與管理失當的部分,也已進行檢討並給予最嚴厲的懲處。
至於,獵人頭業界盛傳年後離職潮的影響,將來銀行表示,公司年後離職比率少於10%、資訊部門約14%,公司除積極慰留表現優秀的同仁外,也希望全新的環境能吸引更多的人才加入。將來銀行是完全屬於台灣本土的純網銀團隊,誠心歡迎也希望提供給所有有志於打造台灣金融新未來的夥伴參與改變的環境與機會,幫台灣留下一個屬於自己的純網銀。
針對資安問題,將來銀行在3月9日補充回應,資訊系統建置期間,系統中僅包含測試使用之資料(非真實資料),使用企業虛擬私人網路(VPN)連線者,亦僅可存取測試使用之資料(非真實資料)。本行於測試階段並無任何客戶資料,亦無發生任何敏感資料外洩問題。本行自2020年12月起,因資訊系統建置測試已完成,故採以下措施加強資訊安全控管,包含建置期帳號密碼回收、加強VPN連線機制(如僅提供透過公發設備進行連線、多因子驗證、各應用系統連線需進行事先申請)。
至於4G連線品質的部分,將來銀行說,於2020年10月間曾短暫開放4G網路連線措施,但情況如同上述以VPN進行測試,並無發生任何資安及資料外洩問題,且本行也均有以防火牆隔離正式環境與測試環境,以落實存取安全控管。另外,資料保護的部分,將來銀行說明,本行自去年12月中起,一般同仁無法於個人電腦自行安裝軟體,且本行個人電腦皆有端點防護(EDR)與資料外洩防禦(DLP)管理機制,且本行SOC資安監控中心監控網路傳輸資料以及文件存取行為,如發現可疑之處,立即通知相關人員進行處理。
誤發信件給外部人士一事,將來銀行則回應, 因去年10月內部環境測試時,開放測試同仁以手動輸入虛擬電子郵件帳號來測試開戶流程。其中有一組電子郵件帳號恰好與民眾的電子郵件帳號相同,使得該民眾收到內部測試信件。經該民眾向本行反應後,由客服部門聯繫對方致歉並取得其諒解。此事在本行內並無如報導所述下「封口令」。
看更多將來銀行爆性騷案處理不當 女經理患憂鬱症被離職【瞎事多1】
劉奕成愛耍寶 曾在公司短跑同事幫計時【瞎事多2】
署名香蕉送女同事 怪男涉性騷擾後閃婚【瞎事多3】